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Beschreibung 

Verfahren zur Fernwartung technischer Einrichtungen 

5 Die Erfindung betrifft ein Verfahren zur Fernwartung techni- 
scher Einrichtungen sowie ein computer-lesbares Speichermedi- 
um mit einem Programm zur Ausfuhrung des Verfahrens auf einer 
Datenverarbeitungseinrichtung . 

'10 Technische Einrichtungen, wie z.B. Computer, medizintechni- 
sche bildgebende Einrichtungen, medizinische Arbeitsplat ze, 
industrielle Anlagensteuerungen oder Fahrzeuge und Flugzeuge, 




werden in aller Regel durch hochspezialisierte Wartungstech- 



niker gewartet. Wartungsmaftnahmen konnen dabei sowohl das Be- 
15 heben von technischen Fehlern als auch das Verandern der 

Funktionalitat umfassen. Fiir unterschiedliche WartungsmaBnah- 
men kommen dabei haufig verschiedene Wartungstechniker zum 
Einsatz. AuBerdem sind Wartungstechniker auf unterschiedliche 
technische Einrichtungen sowie auf unterschiedliche Komponen- 
20 ten von Einrichtungen spezialisiert . 

Der hohe Spezialisierungsgrad macht die Wahl des jeweils ge- 
eigneten Wartungstechnikers von der jeweiligen Einrichtung 
und von der jeweils erf orderlichen Wartungsmalinahme abhangig. 
5 Urn Wartungsmaiinahmen schnell und flexibel durchfuhren zu kon- 
nen, setzen sich deshalb in zunehmendem Mafte Wartungsteams 
durch, die Wartungsmaftnahmen liber Datenf ernverbindungen 
durchfuhren . 

30 Die Fernwartung von technischen Einrichtungen bringt jedoch 
Probleme fur die Sicherheit elektronischer Daten der techni- 
schen Einrichtungen mit sich. Zum einen muss eine Datenf ern- 
verbindung, die von einem Wartungstechniker zu einer zu war- 
tenden Einrichtung aufgebaut werden, gegen unerlaubten 

35 Zugriff von Dritten geschiitzt werden. Zu diesem Zweck kann 

z.B. auf verschlusselte Datenverbindungen, nicht offentliche 
Datenleitungen oder passwortgeschlitzten Datenzugriff zuruck- 
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gegriffen werden. In aller Regel wird der Aufbau einer Daten- 
f ernverbindung von einer technischen Einrichtungen nur dann 
zugelassen werden, wenn eine erfolgreiche elektronische Iden- 
tifizierung des Verbindungspartners durchgef tihrt wurde . 

5 

Zum anderen bringt die Fernwartung das Problem mit sich, dass 
ein Wartungstechniker grundsatzlich auch Zugriff auf vertrau- 
liche, in der zu wartenden Einrichtung gespeicherte Daten er- 
halten kann. Je nach den fur die Wartung er f orderlichen Da- 
'10 tenzugrif f srechten des Wartungstechnikers kann eine solche 

Zugriff smoglichkeit auf vertrauliche Daten ein unerwlinschter 
Nebeneffekt sein. Die Zugriff smoglichkeit kann aber zur War- 
^^j^ tung auch notwendig und unerlasslich sein. Letzteres kann 

z.B. dann der Fall sein, wenn ein Fehlverhalten der techni- 
15 schen Einrichtung nur unter Zugriff auf vertrauliche Daten 
demonstriert werden kann . 

Die vertraulichen Daten konnen z.B. Patientendaten, geheime 
Forschungspapiere, Entwicklungs-Inf ormationen sowie Know-How 
20 oder demograf ische Daten sein. Die Wartung von Einrichtungen, 
die mit derartigen Daten arbeiten, kann den Zugriff auf diese 
Daten erforderlich machen, sie kann jedoch auch lediglich ei- 
nen teilweisen Zugriff erforderlich machen oder ganz ohne 
Zugriff moglich sein. Der Umfang des erf orderlichen Daten- 
<^g5 zugriffs ist anhand der beabsichtigten Wartungsmailnahme vom 
^ Wartungstechniker im Vorfeld einer Wartungsmalinahme abschatz- 
bar . 

Das starre Einschranken der Datenzugrif f srechte auf einen 
30 vorab abgeschat zten notwendigen Zugrif f sumf ang wiirde das 

Durchfiihren von Wartungsmafinahmen jedoch unflexibel machen. 
Zudem musste dazu auf Seiten der technischen Einrichtung ein 
Fachmann die Wartungsmalinahme begleiten, der ausreichende 
Kenntnisse im Umgang mit der Einrichtung besitzt, urn die Da- 
35 tenzugrif f srechte auf den vom Wartungstechniker abgeschat zten 
Umfang einstellen zu konnen. Selbst dadurch konnte aber, wie 
oben angesprochen, nicht verhindert werden, dass fur bestimm- 
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te Wartungsmalinahmen der Zugriff auf vertrauliche Daten not- 
wendig ist. Der Zugriff auf bestimmte vertrauliche Daten, 
z.B. Patientendaten, kann jedoch durch gesetzliche Bestimmun- 
gen ftir einen nicht fur die Arbeit mit der technischen Ein- 
5 richtung und den vertraulichen Daten eingestellten Mitarbei- 
ter, also z.B. fur einen f irmenf remden Wartungstechniker , 
vollstandig untersagt sein. 

Herkommliche Mechanismen zur Kontrolle von Datenzugrif fsrech- 
'10 ten weisen zum einen nicht die erf orderliche Flexibilitat 
auf, urn Anpassungen der Zugriff srechte in Abhangigkeit von 
einer beabsichtigten WartungsmaBnahme durch eine nicht fach- 
mannische Bedienpersonen auf Seiten der zu wartenden Einrich- 
tung zu ermoglichen. Dies konnen in aller Regel nur Administ- 
15 ratoren und technische Fachleute. Zum anderen bieten sie kei- 
ne Mdglichkeit, Zugriffe von f irmenf remden Wartungstechnikern 
auf Daten, die aufgrund vertraglicher oder gesetzlicher Be- 
stimmungen zu einem solchen Zugriff nicht zugelassen werden 
durfen, auf legaler Basis zu ermoglichen. 

20 

Die Aufgabe der Erfindung besteht darin, ein Verfahren zur 
Fernwartung technischer Einrichtungen anzugeben, das eine 
flexible Regulierung von Datenzugrif fen durch Wartungstechni- 
ker unter Einhaltung besonders strenger gesetzlicher Ein- 
5 ' schrankungen von Datenzugrif fsrechten ermoglicht. 

Die Erfindung lost diese Aufgabe durch ein Verfahren sowie 
durch ein Speichermedium gemaft den unabhangigen Patentanspru- 
chen. 

30 

Ein Grundgedanke der Erfindung besteht darin, ein Verfahren 
zur Fernwartung einer technischen Einrichtung durch einen 
Wartungstechniker mittels eines Wartungsrechners anzugeben, 
bei dem 




35 
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in einem ersten Schritt eine Datenf ernverbindung zwischen 
dem Wartungsrechner und der technischen Einrichtung auf- 
gebaut wird, 

in einem weiteren Schritt von dem Wartungsrechner eine 
von einem Umfang eines beabsichtigten Zugriffs auf in der 
technischen Einrichtung gespeicherte Daten abhangige e- 
lektronische Zugrif f sinf ormationen an die technische Ein- 
richtung ubermittelt wird, 

in einem weiteren Schritt von dem Wartungsrechner eine 
dem Wartungstechniker identif izierende elektronische Ken- 
nung an die technische Einrichtung ubermittelt wird, 
in einem weiteren Schritt durch die technische Einrich- 
tung in Abhangigkeit von der Zugrif f sinf ormation und der 
Kennung eine Zustimmung einer Bedienperson zu einem 
Zugriff ermittelt wird und 

in einem weiteren Schritt von der technischen Einrichtung 
eine von der Ermittlung der Zustimmung abhangige elektro- 
nische Bestatigungs-Inf ormation erzeugt wird. 

20 Das Verfahren weist den Vorteil auf, dass zunachst eine Da- 
tenf ernverbindung unabhangig vom beabsichtigten Datenzugriff 
aufgebaut wird, die einen ersten Datenzugriff gestattet, auf- 
grund dessen der Umfang der beabsichtigten Wartungsmafinahme 
und des damit verbundenen erf orderlichen Datenzugriff s ge- 

^5 plant werden kann. In Abhangigkeit von dieser Planung kann 

dann flexibel auf den beabsichtigten Datenzugriff sumfang rea- 
giert werden, in dem uber die bereits bestehende Datenfern- 
verbindung eine Information uber diesen Datenzugriff sumfang 
sowie eine Identif ikation des Datenzugreif enden ubermittelt 

30 wird, aufgrund derer die Zustimmung einer Bedienperson auf 
Seiten der technischen Einrichtung ermittelt werden kann. 

Die Zustimmung betrifft dabei nicht das Aufbauen und den 
Zugrif f sumfang der Datenf ernverbindung als solche, sondern 
35 den beabsichtigten Datenzugriff als solchen, der durch einen 
bestimmten Wartungstechniker, der grundsat zlich nicht fur die 
Arbeit mit den fraglichen vertraulichen Daten vorgesehen ist, 
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erfolgen soil. Eine von dieser Zustimmung abhangige elektro- 
nische Information wird darauf hin an den Wartungsrechner u- 
bermittelt, wodurch eine besondere Vereinbarung zwischen dem 
Wartungstechniker und der Bedienperson hergestellt werden 
5 kann, die sich auf den beabsichtigten Datenzugriff bezieht. 

Das Zustandekommen dieser besonderen Vereinbarung kann so 
gestaltet sein, dass dadurch besonders strengen gesetzlichen 
Einschrankungen von Datenzugriff srechten geniigt wird. Z.B. 
*10 konnte auf diese Weise ein zeitlich auf die Dauer der War- 
tungsarbeiten beschranktes Arbeitsverhaltnis zwischen dem 
Wartungstechniker und der technischen Einrichtung etabliert 
JJP'' werden, welches eine Legitimation fiir den Datenzugriff ermog- 
licht. Die Flexibilitat des Datenzugriff s wird aber nicht 
15 einschrankt, da die Zustimmung nicht darin besteht, die Da- 
tenzugriff srechte durch technische MaBnahmen entsprechend dem 
geplanten Wartungsumf ang anzupassen und zuzulassen. Die Zu- 
stimmung hat vielmehr den Charakter einer Einverstandniser- 
klarung, die den Wartungstechniker eigens zum Datenzugriff 
20 autorisiert. Aus diesem Grund kann die Zustimmung auch von 
einer nicht fiir den Umgang mit der technischen Einrichtung 
f achmannischen Bedienperson gegeben werden. 

In einer vorteilhaf ten Ausgestaltung des Verfahrens wird die 
Bestatigungs-Inf ormation von der technischen Einrichtung an 
den Wartungsrechner ubermittelt. Dadurch kann die Bestati- 
gungs-Inf ormation zeitnah zwischen beiden Beteiligten ausge- 
tauscht werden und die Vereinbarung zu Wartungszwecken 
schnell zustande kommen . 

30 

In einer weiteren vorteilhaf ten Ausgestaltung der Erfindung 
werden von der Bestatigungs-Inf ormation abhangige Informatio- 
nen von der technischen Einrichtung ausgedruckt. Diese Infor- 
mationen konnen z.B. in Form einer schrif tlichen Vereinbarung 
35 ausgedruckt werden, die dann der Bedienperson der technischen 
Einrichtung unmittelbar vorliegt, urn sie z.B. zu unterschrie- 
ben und an den Wartungstechniker zu faxen. Dies erlaubt das 
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einfache und schnelle Zustandebringen der Vereinbarung auch 
in Schrif tf orm. 

In einer weiteren vorteilhaf ten Ausgestaltung der Erfindung 
5 wird von dem Wartungsrechner eine von einer Beendigung des 
Zugriffs abhangige elektronische Abschlussinf ormation an die 
technische Einrichtung ubermittelt. Dadurch kann die Bedien- 
person der technischen Einrichtung zeitnah uber das Ende der 
Wartungsarbeiten informiert werden. Zudem kann mit der Ab- 
"10 schlussinf ormation die Beendigung einer zwischen Wartungs- 
techniker und Bedienperson zu Wartungszwecken getroffenen 
Vereinbarung unmittelbar mitgeteilt und dokumentiert werden. 
Die Beendigung des Zugriffs kann dabei unabhangig von einem 
Abbauen der Datenf ernverbindung erfolgen und sich lediglich 
15 auf eine bestimmte, abgeschlossene Wartungsmaftnahme beziehen. 

In einer weiteren vorteilhaf ten Ausgestaltung der Erfindung 
wird von dem Wartungsrechner eine elektronische Dokumentation 
von mittels des Wartungsrechners vorgenommenen Zugriffen an 
20 die technische Einrichtung ubermittelt. Diese Dokumentation 
steht dann an der technischen Einrichtung zur Verftigung, um 
die Zugriffe des Wartungstechnikers auf Daten sowie auf Kom- 
ponenten der technischen Einrichtung nachvollziehbar zu ma- 
chen. Daruber hinaus konnen samtliche Zugriffe auf vertrauli- 
^5 che Daten auf diese Weise dokumentiert werden, um im nachhi- 
nein vollstandig rekonstruierbar zu sein. Diese Dokumentation 
kann insbesondere dazu dienen, strengen gesetzlichen Anforde- 
rungen an die Dokumentationen von Datenzugrif f en auf vertrau- 
liche Daten, z.B. Patientenakten, zu genugen. 

30 

In einer weiteren vorteilhaf ten Ausgestaltung der Erfindung 
werden durch den Wartungsrechner elektronische Daten, die von 
der technischen Einrichtung an den Wartungsrechner ubermit- 
telt und von diesem gespeichert wurden, in Abhangigkeit von 
35 einer Beendigung des Zugriffs automatisch aus dem Wartungs- 
rechner geloscht. Dadurch kann sichergestellt werden, dass 
insbesondere vertrauliche Daten, z.B. elektronische Patien- 
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tenakten, zwar zu Wartungszwecken zugegriffen werden konnen, 
nach Abschluss der Wartung jedoch nicht an dafur nicht vorge- 
sehenen Orten erhalten bleiben. Das Loschen der Daten kann 
dazu dienen, besonders strenge gesetzliche Anf orderungen an 
5 die Vertraulichkeit und Sicherheit solcher Daten zu erfullen. 

In einer weiteren vorteilhaf ten Ausgestaltung der Erfindung 
wird ein Umfang eines beabsichtigten Datenzugrif f s automa- 
tisch ermittelt. Dadurch kann nach Aufbau der Datenf ernver- 
*10 bindung zwischen technischer Einrichtung und Wartungsrechner 
eine erste Fehlerdiagnose ohne Zugriff auf vertrauliche Daten 
durchgefiihrt werden, in Abhangigkeit von der dann eine Pla- 
xjQt nung der beabsichtigten Wartungsmafinahme erfolgt. Die War- 
tungsmafinahme kann dabei z.B. unter Verwendung der bereits 

15 aufgebauten Datenf ernverbindung automatisch geplant werden, 
nachdem eine ebenfalls automatische erste Fehlerdiagnose 
durchgefiihrt wurde. Das Verfahren kann jedoch auch teilauto- 
matisiert ablaufen, indem eine erste Diagnose von einem War- 
tungstechniker vorgenommen wird, der daraufhin die von ihm 

20 beabsichtigten Wartungsmafinahmen mittels des Wartungsrechners 
plant. Die automatische Planung des Datenzugrif fsumfangs er- 
folgt dann in Abhangigkeit von den Eingaben des Wartungstech- 
nikers. Der beabsichtigte Datenzugrif fsumfang kann dabei z.B. 
einer von mehreren vordef inierten Stufen zugeordnet werden. 
^5 Dabei ist jede Stufe mit einem bestimmten Datenzugrif fsrecht 
verbunden. 

Weitere vorteilhafte Ausgestaltungen der Erfindung ergeben 
sich aus den unabhangigen Patentanspruchen . 

30 

Nachfolgend werden Ausf uhrungsbeispiele der Erfindung anhand 
von Figuren erlautert. Es zeigen: 

FIG 1 Verf ahrensschritte zur Fernwartung, 
35 FIG 2 Verf ahrensschritte zur automatischen Loschung von Da- 
ten im Anschluss an Fernwartungsmalinahmen und 
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FIG 3 System aus Wartungsrechner und technischer Einrich- 
tung . 

In FIG 1 ist das Verfahren zur Fernwartung einer technischen 
5 Einrichtung in einzelnen Ver f ahrensschritten dargestellt. In 
Schritt 1 beginnt das Wartungsverf ahren, indem z.B. ein War- 
tungstechniker von einer Bedienperson einer technischen Ein- 
richtung 55 verstandigt wird. Die Verstandigung kann uber E- 
Mail, Fax oder Telefon erfolgen. Sie kann auch automat isch 
*10 von der technischen Einrichtung 55 bei Auftreten von Fehlern 
erzeugt und ubermittelt werden. 

H In Schritt 3 baut der Wartungstechniker eine Datenf ernverbin- 
dung 53 von einem Wartungsrechner 51 zu der zu wartenden 
15 technischen Einrichtung 55 auf. Die Datenf ernverbindung kann 
dabei in einer Modemverbindung bestehen, in einer Intranet- 
Verbindung, einer Internet-Verbindung oder in einer sonstigen 
Verbindung zwischen dem Wartungsrechner 51 und der techni- 
schen Einrichtung 55. Bei der technischen Einrichtung 55 kann 
20 es sich sowohl urn einen Computer als auch urn eine sonstige 
technische Einrichtung mit elektronischer Steuerung und Da- 
tenf ernverbindungsmitteln handeln . 

In Schritt 5 wird durch den Wartungstechniker oder den War- 
5 tungsrechner 51 eine erste Analyse der beabsichtigten War- 
tungsmaJinahme durchgef tihrt . Z.B. kann ein Fehlverhalten der 
technischen Einrichtung 55 analysiert werden oder eine Ande- 
rung der Konf iguration der technischen Einrichtung 55 geplant 
werden. Die Analyse kann durch den Wartungstechniker manuell 
30 durchgefiihrt werden und sich auf -Informationen stlitzen, die 
mit der Anforderung der WartungsmaBnahmen ubermittelt werden. 
Die Analyse kann auch automatisiert durch den Wartungsrechner 
51 durchgefiihrt werden, der dazu Konf igurationsdaten, Nut- 
zungsdokumentationen oder Funktionsparameter der technischen 
35 Einrichtung 55 abfragen kann. 
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In Schritt 7 wird der Umfang der beabsichtigten Wartungsmafi- 
nahme sowie der damit verbundene Umfang der beabsichtigten 
Datenzugrif f e geplant. Dabei wird grundsatzlich zwischen 
Zugriffen auf vertrauliche Daten und auf nicht vertrauliche 
5 Daten unterschieden . Wartungsmaftnahmen, die keinen Zugriff 
auf vertrauliche Daten erforderlich machen, erfordern keine 
weiteren besonderen Vorkehrungen und konnen unmittelbar umge- 
setzt werden. Dagegen benotigen Wartungsmaflnahmen, die einen 
Zugriff durch den Wartungsrechner 51 auf vertrauliche elekt- 
10 ronische Daten erforderlich machen, die besondere Zustimmung 
des Inhabers der elektronischen Daten oder einer zum Zugriff 
auf diese Daten autorisierten Bedienperson. 

Die Planung des beabsichtigten Umfangs an Datenzugrif fen un- 
15 terscheidet also primar zwischen Zugriff auf vertrauliche und 
nicht vertrauliche Daten. Daruber hinaus konnen Zugriff e auf 
vertrauliche Daten in unterschiedlichem Umfang unterschieden 
und entsprechend ihrem Zugrif f sumf ang eingestuft werden. Die 
Einstufung kann sich zum Beispiel danach richten, ob auf 
20 Bilddaten, Textdaten, personliche Angaben, Messdaten oder 
diagnostische Daten zugegriffen werden soli. 

In Schritt 9 wird anhand der Planung des beabsichtigten Da- 
tenzugriffs unterschieden, ob auf vertrauliche Daten zuge- 
|0?5 griff en werden soli. 

Falls nicht auf vertrauliche Daten zugegriffen werden soil, 
kann unmittelbar mit dem unten beschriebenen Schritt 19 mit 
den beabsichtigten Wartungsmaflnahmen fortgefahren werden. 

30 

Falls auf vertrauliche Daten zugegriffen werden soli, wird in 
Schritt 11 eine elektronische Information vom Wartungsrechner 
51 an die technische Einrichtung 55 ubermittelt, die vom be- 
absichtigten Datenzugrif f sumf ang abhangig ist. Diese Informa- 
35 tion kann z.B. in Angaben zu den zuzugreif enden Daten sowie 
zu der Art der Datenzugrif fe bestehen. Sie kann jedoch auch 
in einer Vereinbarung liber die beabsichtigten Datenzugrif fe 
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in der Art bestehen, dass ein Vertragsentwurf ubermittelt 
wird, der die vertragliche Zustimmung der Bedienperson zu ei- 
nem Zugriff des Wartungstechnikers auf die vertraulichen Da- 
ten beinhaltet. Ein solcher Vertrag konnte z.B. die Einrich- 
5 tung eines voriibergehenden - auf die Dauer der Wartungsarbei- 
ten beschrankten - Arbeitsverhaltnisses zwischen dem War- 
tungstechniker und der technischen Einrichtung beinhalten. 

In Schritt 12 wird eine elektronische Kennung, die den War- 
10 tungstechniker identif iziert , vom Wartungsrechner 51 an die 
technische Einrichtung 55 ubermittelt. Die Kennung kann ent- 
weder den Wartungstechniker individuell und eindeutig identi- 
/~ fizieren, oder sie kann z.B. die Rolle des Wartungstechnikers 
angeben . 

15 

In Schritt 13 zeigt die technische Einrichtung 55 einer Be- 
dienperson uber ein Anzeigegerat, z.B. einen Bildschirm, In- 
formationen zum beabsichtigten Wartungszugrif f und zur Iden- 
titat oder Rolle des Wartungstechnikers an. Die Anzeige be- 
20 steht in einer bevorzugten Ausf uhrungsf orm in einem PopUup- 

Fenster, das eine Vereinbarung anzeigt, die den Wartungstech- 
niker fur den Datenzugriff im beabsichtigten Zugrif f sumf ang 
autorisiert . 

^5 Der Wortlaut dieser Vereinbarung kann entweder vom Wartungs- 
rechner 51 ubermittelt worden sein, oder er kann auf Seiten 
der technischen Einrichtung 55 verfugbar sein. Dabei kann der 
Inhalt der Vereinbarung in Abhangigkeit vom beabsichtigten 
Datenzugriff sumf ang variabel, z.B. in Form einer Formularvor- 

30 lage, festgelegt werden oder es kann eigens fur jeden Daten- 
zugriff sumf ang eine Standardvereinbarung, z.B. in Form einer 
Dokumentvorlage, verfugbar sein. In einer weiteren Ausfuh- 
rungsform kann einer Bedienperson anstelle einer Vereinbarung 
lediglich eine Information liber den Umfang des beabsichtigten 

35 Datenzugriff s sowie den Wartungstechniker bzw. dessen Rolle 
mitgeteilt werden. 
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In Schritt 15 erhalt die Bedienperson der technischen Ein- 
richtung 55 die Moglichkeit, dem beabsichtigten Datenzugriff 
zuzustimmen oder ihn abzulehnen. Die Entscheidung kann durch 
Eingabe der Zustimmung oder Ablehnung z.B. mittels Tastatur 
5 oder Maus direkt am Anzeigegerat der technischen Einrichtung 
55 getroffen werden. In einer anderen Ausf iihrungsf orm kann 
die Entscheidung dadurch getroffen werden, dass die im vor- 
hergehenden Schritt gezeigten Inf oritiationen bzw. die Verein- 
barung durch die technische Einrichtung 55 ausgedruckt und 
10 von einer Bedienperson in Schrif tf orm bestatigt werden. 

Falls die Bedienperson keine Zustimmung zu dem beabsichtigten 
^ Datenzugriff gibt, so wird die geplante Wartungsmafinahme im 
unten beschriebenen Schritt 27 abgebrochen. 

15 

Falls die Bedienperson ihre Zustimmung zum Datenzugriff gege- 
ben hat, so wird in Schritt 17 ein von dieser Zustimmung ab- 
hangiges elektronisches Signal erzeugt, dass von der techni- 
schen Einrichtung 55 entweder unmittelbar an den Wartungs- 
20 rechner 51 ubermittelt wird, oder das Erzeugen eines Aus- 
drucks bewirkt, der dann z.B. gefaxt werden kann. 

Falls die Zustimmung der Bedienperson unmittelbar am Bild- 
schirm der technischen Einrichtung 55 eingegeben wurde, er- 
5 folgt die Ubermittlung iiber die Datenf ernverbindung 53 und 
kann dem Wartungstechniker unmittelbar angezeigt werden. 
Falls die Zustimmung auf einem Ausdruck schriftlich gegeben 
wurde, kann sie per Fax ubertragen oder per Post geschickt 
werden. In diesem Fall erhalt der Wartungstechniker die Zu- 
30 stimmung bzw. die vertragliche Vereinbarung fur den beabsich- 
tigten Wartungszugrif f nicht genauso zeitnah wie bei der 0- 
bermittlung liber die Datenf ernverbindung 53. Diese Moglich- 
keit kann allerdings fur Dokumentationszwecke genutzt werden, 
urn Vereinbarungen bzw. Zustimmungen zu Datenzugriff en z.B. 
35 zentral zu archivieren. 
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In Schritt 19 nimmt der Wartungstechniker mittels des War- 
tungsrechners 51 Wartungsmafinahmen uber die bereits aufgebau- 
te Datenf ernverbindung 53 vor. Er halt dabei den zuvor durch 
die Bedienperson der technischen Einrichtung 55 im bestatig- 
5 ten Datenzugrif f suraf ang ein, urn sich im zuvor geregelten Rah- 
men des Datenzugrif fs zu bewegen. Die Datenf ernverbindung 53 
muss zu diesem Zweck nicht angepasst und in ihren Zugriffs- 
moglichkeiten technisch eingeschrankt werden, stattdessen 
halt der Wartungstechniker den vereinbarten Zugrif f sumf ang 
*10 von sich aus ein. 

Die Wartungsmafinahmen des Wartungstechnikers werden in einem 
^ Dokumentationsspeicher 21 in geeigneter Weise gespeichert, urn 
im nachhinein jederzeit vollstandig rekonstruierbar zu sein. 

15 

In Schritt 23 werden die zu Dokumentationszwecken im Dokumen- 
tationsspeicher 21 gespeicherten Inf ormationen vom Wartungs- 
rechner 51 an die technische Einrichtung 55 tibertragen. Damit 
kann insbesondere gesetzlichen Auflagen zur vollstandigen Do- 
20 kumentation von Datenzugrif fen auf vertrauliche Daten genuge 
getan werden. 

In Schritt 25 erfolgt die Beendigung der Wartungsmafinahme 
entweder automatisch durch den Wartungsrechner 51 oder manu- 
5 ell durch den Wartungstechniker. Die Beendigung der Wartungs- 
mafinahme ist dabei nicht identisch mit dem Abbauen der Daten- 
f ernverbindung 53, sie bedeutet lediglich das Abschliefien der 
zuvor geplanten und durchgef iihrten Wartungsmafinahme. Sollte 
sich z.B. im Lauf der Durchflihrung dieser Wartungsmafinahme 
30 herausstellen, dass ein Datenzugriff in geandertem Umfang er- 
forderlich wird, so kann eine laufende Wartungsmafinahme ab- 
gebrochen und eine Wartungsmafinahme in dem erf orderlichen, 
geanderten Zugrif f sumf ang eingeleitet werden. 

35 In Schritt 27 wird einer Bedienperson durch die technische 

Einrichtung 55 die Beendigung der Wartungsmafinahme angezeigt. 
Die Beendigung der Wartungsmafinahme ist gleichbedeutend, dass 




200303034 



13 

die Zustimmung der Bedienperson zu einem Datenzugriff im zu- 
vor festgelegten Umfang erlischt. Erfolgte die Zustimmung im 
Rahmen einer vertraglichen Vereinbarung, so ist die Beendi- 
gung der WartungsmaBnahme in Schritt 27 mit der Kundigung der 
5 vertraglichen Vereinbarung identisch. Zu diesem Zweck kann 

der Bedienperson z.B. eine mit der vorangehenden Vereinbarung 
konforme Kundigung als PopUp-Fenster auf einem Bildschirm der 
technischen Einrichtung 55 angezeigt werden. 

'10 In Schritt 29 wird nach Beendigung samtlicher Wartungsmailnah- 
men die Datenf ernverbindung 53 abgebaut und in Schritt 31 das 
Wartungsverf ahren beendet. 

In FIG 2 ist das Verfahren zum Loschen vertraulicher Daten 
15 vom Wartungsrechner 51 dargestellt. In Schritt 19 erfolgt da- 
bei, wie zuvor beschrieben, die Durchflihrung von WartungsmaB- 
nahmen und deren Speicherung zu Dokumentationszwecken im Do- 
kumentationsspeicher 21. In Schritt 23 werden, wie ebenfalls 
zuvor beschrieben, die zu Dokumentationszwecken gespeicherten 
20 Inf ormationen an die technische Einrichtung 55 ubertragen. 

In Schritt 24 erfolgt unter Verwendung der zu Dokumentations- 
zwecken gespeicherten Inf ormationen das Loschen samtlicher 
Daten, die wahrend der Wartungsmafinahmen von der technischen 
5 Einrichtung 55 an den Wartungsrechner 51 ubertragen wurden 
und von diesem gespeichert wurden. Die Verwendung der Doku- 
mentationsinf ormationen ermoglicht dabei das vollstandige Lo- 
schen, so dass im Anschluss gewahrleistet ist, dass keine 
vertraulichen Daten auf Seiten des Wartungsrechners 51 erhal- 
30 ten bleiben. 

In Schritt 25 erfolgt, wie zuvor beschrieben die Beendigung 
der WartungsmaBnahme von Seiten des Wartungsrechners 51. 

35 In Schritt 26 wird der Bedienperson der technischen Einrich- 
tung 55 im Anschluss an die Beendigung der WartungsmaBnahme 
das zuvor in Schritt 24 erfolgte erfolgreiche Loschen samtli- 
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cher vertraulicher Daten auf Seiten des Wartungsrechners 51 
bestatigt . 

In Schritt 27 wird, wie zuvor beschrieben, durch die techni- 
sche Einrichtung 55 die Beendigung der Wartungsmafinahmen in 
Form einer Aufkiindigung der zuvor getroffenen Vereinbarung 
angezeigt . 

In FIG 3 ist ein System zur Wartung einer technischen Ein- 
richtung 55 dargestellt. Die technische Einrichtung 55 kann 
dabei z.B. ein Computer oder eine Computersteuerung einer 
Einrichtung sein. Ein Wartungsrechner 51, z.B. ein Computer 
oder ein Notebook, wird mit der technischen Einrichtung 55 
liber eine Datenf ernverbindung 53 verbunden. Die Datenf ernver- 
bindung 53 kann dabei in einer Modemverbindung, einer Intra- 
net-Verbindung, einer Internet-Verbindung oder sonstigen Da- 
tenverbindungen bestehen. Eine weitere technische Einrichtung 
55 ist beispielhaft dargestellt, die ebenfalls Zugriff auf 
eine Datenf ernverbindung 53 hat, jedoch nicht mit dem War- 
tungsrechner 51 verbunden ist. 

Die zur Ausfiihrung des Verfahrens auf einer Datenverarbei- 
tungseinrichtung notwendigen Inf ormationen konnen auf einem 
computer-lesbaren Speichermedium gespeichert sein. Das Spei- 
chermedium kann z.B. eine Diskette, ein Disketten-Paket , eine 
Festplatte, ein Server sein. Die darauf gespeicherten Infor- 
mationen konnen mit einer Datenverarbeitungseinrichtung in 
Wechselwirkung treten, urn z.B. das Verfahren auf der Daten- 
verarbeitungseinrichtung auszufiihren oder ein zur Ausfiihrung 
benotigtes Programm darauf zu installieren . 
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Pa tent anspruche 

1. Verfahren zur Fernwartung einer technischen Einrichtung 
(55) durch einen Wartungstechniker mittels eines Wartungs- 

5 rechners (51), bei dem a) in einem Schritt (3) eine Daten- 

f ernverbindung (53) zwischen dem Wartungsrechner (51) und der 
technischen Einrichtung (55) aufgebaut wird, b) in einem 
Schritt (11) von dem Wartungsrechner (51) eine von einem Um- 
fang eines beabsichtigten Zugriffs auf in der technischen 

10 Einrichtung (55) gespeicherte Daten abhangige elektronische 

Zugrif f s-Inf ormation an die technische Einrichtung (55) uber- 
mittelt wird, c) in einem Schritt (12) von dem Wartungsrech- 

1^ ner (51) eine den Wartungstechniker identif izierende elektro- 
nische Kennung an die technische Einrichtung (55) ubermittelt 

15 wird, d) in einem Schritt (15) durch die technische Einrich- 
tung (55) in Abhangigkeit von der Zugrif fs-Inf ormation und 
der Kennung eine Zustimmung einer Bedienperson zu einem 
Zugriff ermittelt wird und e) in einem Schritt (17) von der 
technischen Einrichtung (55) eine von der Ermittlung der Zu- 

20 stimmung abhangige elektronische Bestatigungs-Inf ormation er- 
zeugt wird. 

2. Verfahren nach Anspruch 1, bei dem die Bestatigungs- 
Inf ormation von der technischen Einrichtung (55) an den War- 

p.5 tungsrechner (51) ubermittelt wird. 

3. Verfahren nach einem der vorhergehenden Anspruche, bei dem 
von der Bestatigungs-Inf ormation abhangige Inf ormationen von 
der technischen Einrichtung (55) ausgedruckt werden. 

30 

4. Verfahren nach einem der vorhergehenden Anspruche, bei dem 
in einem Schritt (25) von dem Wartungsrechner (51) eine von 
einer Beendigung des Zugriffs abhangige elektronische Ab- 
schluss-Inf ormation an die technische Einrichtung (55) uber- 

35 mittelt wird. 
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5. Verfahren nach einem der vorhergehenden Anspruche, bei dem 
in einem Schritt (23) von dem Wartungsrechner (51) eine e- 
lektronische Dokumentation von mittels des Wartungsrechners 

(51) vorgenommenen Zugriffen an die technische Einrichtung 

(55) iibermittelt wird. 

6. Verfahren nach einem der vorhergehenden Anspruche, bei dem 
in einem Schritt (24) durch den Wartungsrechner (51) elektro- 
nische Daten, die von der technischen Einrichtung (55) an den 
Wartungsrechner (51) iibermittelt und von diesem gespeichert 
wurden, in Abhangigkeit von einer Beendigung des Zugriffs au- 
tomatisch aus dem Wartungsrechner (51) geloscht werden. 

7. Verfahren nach einem der vorhergehenden Ansprtiche, bei dem 
in einem Schritt (7) ein Umfang eines beabsichtigten Daten- 
zugriffs automatisch ermittelt wird. 

8. Computer-lesbares Speichermedium, auf dem Inf ormationen 
gespeichert sind, die in Wechselwirkung mit einer Datenverar- 
beitungseinrichtung treten konnen, um das Verfahren nach ei- 
nem der Ansprtiche 1 bis 7 auf der Datenverarbeitungseinrich- 
tung auszufiihren. 
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Zusammenf as sung 

Verfahren zur Fernwartung technischer Einrichtungen 

5 Die Erfindung betrifft ein Verfahren zur Fernwartung einer 
technischen Einrichtung (55) durch einen Wartungstechniker 
mittels eines Wartungsrechners (51) sowie ein computer- 
lesbares Speichermedium, auf dem Inf ormationen zur Ausfiihrung 
des Verfahrens auf einer Datenverarbeitungseinrichtung ge- 
0 speichert sind, Bei dem Verfahren wird a) in einem Schritt 
(3) eine Datenf ernverbindung (53) zwischen dem Wartungsrech- 
ner (51) und der technischen Einrichtung (55) aufgebaut, b) 
in einem Schritt (11) von dem Wartungsrechner (51) eine von 
einem Umfang eines beabsichtigten Zugriffs auf in der techni- 
5 schen Einrichtung (55) gespeicherte Daten abhangige elektro- 
nische Zugrif f s-Inf ormation an die technische Einrichtung 
(55) ubermittelt, c) in einem Schritt (12) von dem Wartungs- 
rechner (51) eine den Wartungstechniker identif izierende e- 
lektronische Kennung an die technische Einrichtung (55) uber- 
0 mittelt, d) in einem Schritt (15) durch die technische Ein- 
richtung (55) in Abhangigkeit von der Zugrif fs-Inf ormation 
und der Kennung eine Zustimmung einer Bedienperson zu einem 
Zugriff ermittelt und e) in einem Schritt (17) von der tech- 
nischen Einrichtung (55) eine von der Ermittlung der Zustim- 
5 mung abhangige elektronische Bestatigungs-Inf ormation er- 
zeugt . 
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METHOD FOR REMOTE MAINTENANCE OF TECHNICAL DEVICES 

The invention concerns a method for remote maintenance of technical devices 
as well as a computer-readable storage medium with a program to execute the method 
on a data processing device. 

Technical devices such as, for example, computers, medical-technical image 
devices, medical workstations, industrial system controls or automobiles and airplanes 
are as a rule serviced by highly-specialized maintenance technicians. Maintenance 
measures can thereby comprise both the remedy of technical errors and the 
modification of the functionality. Different maintenance technicians are thereby 
frequently used for different maintenance measures. Additionally, maintenance 
technicians are specialized to different technical devices as well as to different 
components of devices. 

The high degree of specialization makes the selection of the respectively 
suitable maintenance technician dependent on the respective device and on the 
respective necessary maintenance measure. In order to be able to implement 
maintenance measures quickly and flexibly, maintenance teams that implement 
maintenance measures via remote data connections are becoming accepted in 
increasing measure. 

However, the remote maintenance of technical devices brings with it problems 
for the security of electronic data of the technical devices. On the one hand, a remote 
data connection that is to be established from a maintenance technician to a device to 
be serviced must be protected from unauthorized access by a third party. For this 
purpose, for example, encrypted data connections, non-public data lines or password- 
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protected data access can be resorted to. In all cases, the establishment of a remote 
data connection by one of the technical devices is only then allowed when a 
successful electronic identification of the connection partner has been implemented. 

On the other hand, the remote maintenance brings with it the problem that a 
maintenance technician can in principle also obtain access to confidential data stored 
in the device to be serviced. Depending on the data access rights of the maintenance 
technician necessary for the servicing, such a possibility of access to confidential data 
can be an undesired side effect. The possibility of access can, however, also be 
necessary for maintenance and indispensable. The latter can, for example, be the case 
when an error behavior of the technical device can only be demonstrated by accessing 
confidential data. 

The confidential data can, for example, be patient data, secret research papers, 
development information as well as know-how or demographic data. The servicing of 
devices that work with such data can make the access to these data necessary, 
however it can also make necessary only a partial access, or can be possible 
completely without access. The extent of the necessary data access can be estimated 
by the maintenance technician in the preliminary stages of a maintenance measure 
using the intended maintenance measure. 

However, the rigid limitation of the data access rights to a previously 
estimated necessary scope of access would make the implementation of maintenance 
measures inflexible. In addition to this, a specialist that possesses sufficient 
knowledge of the device would have to conduct the maintenance measure on the side 
of the technical device in order to be able to adjust the data access rights to the scope 
estimated by the maintenance technician. However, as stated above, it could itself 
[sic] not be prevented that the access to confidential data is necessary for specific 
maintenance measures. The access to specific confidential data, for example patient 
data, can, however, be completely prohibited via legal regulations for an employee 
(thus, for example, for a maintenance technician from outside the company) not 
appointed for the work with the technical device and the confidential data. 
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Conventional mechanisms to monitor data access rights on the one hand do 
not exhibit the necessary flexibility to enable adaptations of the access rights by a 
non-specialist operating personnel on the side of the device to be maintained, 
dependent on an intended maintenance measure. This can in all cases only 
administrators and technical experts [sic]. On the other hand, they offer no possibility 
on a legal basis to enable access to data by maintenance technicians outside the firm 
that may not be allowed such an access based on confidential or legal regulations. 

The object of the invention is to specify a method for remote maintenance of 
technical devices that enables a flexible regulation of data accesses by maintenance 
technicians under compliance with particularly strong legal limitations of data access 
rights. 

The invention achieves this object via a method as well as via a storage 
medium according to the independent patent claims. 

A fundamental idea of the invention is to specify a method for remote 
maintenance of a technical device by a maintenance technician by means of a 
maintenance computer, in that 

a) in a first step, a remote data connection is established between the 
maintenance computer and the technical device, 

b) in a further step, electronic access information dependent on a scope of 
intended access to data stored in the technical device is transmitted from the 
maintenance computer to the technical device, 

c) in a further step by the maintenance computer, an electronic identifier 
identifying the maintenance technician is transmitted to the technical device, 

d) in a further step by the technical device, an approval by an operating personnel 
of an access is determined dependent on access information and the identifier, 
and 

e) in a further step by the technical device, electronic authentication information 
is generated dependent on the determination of the approval. 
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The method exhibits the advantage that first a remote data connection that 
allows a first data access is established independent of the intended data access, based 
on which the scope of the intended maintenance measure and of the necessary 
connected data access can be planned. Dependent on this planning, the scope of the 
intended data access can be flexibly reacted to, in that information about this extent of 
data access, as well as an identification of the data accesser, is transmitted via the 
already existing remote data connection, based on which the approval of an operating 
personnel on the side of the technical device can be determined. 

The approval thereby concerns not the configuration and the extent of access 
of the remote data connection as such, but rather the intended data access as such that 
should ensue by a specific maintenance technician who is in principle not designated 
for the work with the confidential data in question. Electronic information dependent 
on this approval is transmitted to the maintenance computer, whereby a particular 
arrangement can be made between the maintenance technician and the operating 
personnel that refers to the intended data access. 

The materialization of this particular agreement can be designed such that 
particularly strong legal limitations of data access rights is [sic] thereby satisfied. For 
example, in this manner a work relationship between the maintenance technician and 
the technical device, temporally limited to the duration of the maintenance work, 
could be established., which enables a legitimation for the data access. The flexibility 
of the data access is, however, not limited, since it does not exist in the approval to 
adapt and allow the data access rights via technical measures corresponding to the 
planned maintenance extent. Rather, the approval has the character of a clarification 
of understanding that specially authorizes the maintenance technician for data access. 
For this reason, the approval can also be given by an operating personnel who is not a 
specialist for interaction with the technical device. 

In an advantageous embodiment of the method, the authentication information 
is transmitted by the technical device to the maintenance computer. The 
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authentication information can thereby be exchanged between both parties in real 
time, and the agreement for maintenance purposes can quickly materialize. 

In a further advantageous embodiment of the invention, information dependent 
on the authentication information is printed out by the technical device. This 
information can, for example, be printed out in the form of a written agreement that is 
then directly present to the operating personnel of the technical device in order, for 
example, for her to sign and fax to the maintenance technician. This also allows the 
simple and fast accomplishment of the agreement in written form. 

In a further advantageous embodiment of the invention, an electronic 
termination information dependent on the end of the access is transmitted from the 
maintenance computer to the technical device. The operating personnel of the 
technical device can thereby be informed in real time about the end of the 
maintenance work. In addition to this, the end of an agreement made between 
maintenance technician and operating personnel for maintenance purposes can also be 
directly communicated and documented with the termination information. The end of 
the access can thereby ensue independent of a release of the remote data connection 
and refer only to a specified, concluded maintenance measure. 

In a further embodiment of the invention, an electronic documentation of 
accesses effected by means of the measurement event is transmitted from the 
maintenance computer to the technical device. This documentation is then available 
at the technical device in order to make traceable the accesses of the maintenance 
technician to data as well as to components of the technical device. Moreover, all 
access to confidential data can be documented in this manner in order to be 
completely reconstructable after the event. This documentation can in particular serve 
to satisfy strong legal requirements for the documentation of data accesses to 
confidential data, for example patient records. 

In a further advantageous embodiment of the invention, electronic data that 
have been transmitted from the technical device to the maintenance computer and 
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stored by the maintenance computer are automatically deleted by the maintenance 
computer from the maintenance computer dependent on an termination of the access. 
It can thereby be ensured that in particular confidential data, for example electronic 
patient records, can in fact be accessed for maintenance purposes, however do not 
remain at locations not provided for this after conclusion of the maintenance. The 
deletion of the data can serve to fulfill particularly strong legal requirements for the 
confidentiality and security of such data. 

In a further advantageous embodiment of the invention, an extent of an 
intended data access is automatically determined. After establishment of the remote 
data connection between technical device and maintenance computer, a first error 
diagnosis can thereby be implemented dependent on the then [sic] a plan of the 
intended maintenance measure. The maintenance measure can thereby, for example, 
automatically be planned using the already established remote data connection, 
according to which a likewise automatic first error diagnosis has been implemented. 
However, the method can also run semi-automatically, in that a first diagnosis is 
effected by a maintenance technician who thereupon plans the maintenance measures 
intended by him by means of the maintenance computer. The automatic planning of 
the extent of the data access then ensues dependent on the inputs of the maintenance 
technician. The intended extent of the data access can thereby, for example, be 
associated with one or more predefined levels. Each level is thereby connected with a 
specific data access right. 

Further embodiments of the invention result from the independent patent 

claims. 

Exemplary embodiments of the invention are subsequently explained in detail 
using Figures. Thereby shown are: 

FIG 1 method steps for remote maintenance, 
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FIG 2 method steps for automatic deletion of data in connection with remote 

maintenance measures, and 

FIG 3 system made up of maintenance computer and technical device. 

The method for remote maintenance of a technical device is shown in 
individual method steps in FIG 1. The maintenance method begins in step 1, in that, 
for example, a maintenance technician is notified by an operating personnel of a 
technical device. The notification can ensue via e-mail, fax or telephone. It can also 
be automatically generated and transmitted by the technical device 55 upon 
occurrence of errors. 

In step 3, the maintenance technician establishes a remote data connection 53 
from a maintenance computer 51 to the technical device 55 to be maintained. The 
remote data connection can thereby comprise a modem connection, an intranet 
connection, an Internet connection or another connection between the maintenance 
computer 51 and the technical device 55. The technical device 55 can be both a 
computer and another technical device with electronic control and remote data 
connection means. 

In step 5, a first analysis of the intended maintenance measure is implemented 
by the maintenance technician or the maintenance computer 51. For example, an 
error behavior of the technical device 55 can be analyzed or a change of the 
configuration of the technical device 55 can be planned. The analysis can be 
manually implemented by the maintenance technician and be based on —information 
[sic] that are transmitted with the specification of the maintenance measures. The 
analysis can also be automatically implemented by the maintenance computer 51, 
which for this purpose can query configuration data, user documentations or function 
parameters of the technical device 55. 

In step 7, the extent of the intended maintenance measure and the extent of the 
intended data accesses connected thereto is planned. In principle, a differentiation is 
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made between accesses to confidential data and accesses to non-confidential data. 
Maintenance measures that need no access to confidential data require no further 
particular precautions and can be directly implemented. In contrast to this, 
maintenance measures that require an access by the maintenance computer 51 to 
confidential electronic data require the particular approval of the possessor of the 
electronic data or an operating personnel authorized to access these data. 

The planning of the intended scope of data accesses is thus differentiated 
primarily between access to confidential data and access to non-confidential data. 
Moreover, accesses to confidential data can differ in different extent and be 
correspondingly classified with regard to their extent of access. The classification 
can, for example, adapt to whether image data, text data, personal statements, 
measurement data or diagnosis data should be accessed. 

In step 9, using the planning of the intended data access it is differentiated as 
to whether confidential data should be accessed. 

In the event that confidential data is not to be accessed, the step 19 with the 
intended maintenance measures can be directly proceeded with. 

In the event that confidential data is to be accessed, in step 1 1 electronic 
information that is dependent on the intended extent of data access is transmitted from 
the maintenance computer 51 to the technical device 55. This information can, for 
example, comprise specifications for the data to be accessed as well as for the type of 
the data accesses. However, it can also comprise an agreement about the intended 
data accesses, in the manner that a draft agreement is transmitted that contains the 
contractual approval of the operating personnel to an access of the maintenance 
technician to the confidential data. Such a contract could, for example, contain the 
establishment of a temporary - limited to the duration of the maintenance work - 
work relationship between the maintenance technician and the technical device. 
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In step 12, an electronic identifier that identifies the maintenance technician is 
transmitted from the maintenance computer 51 to the technical device 55. The 
identifier can either individually and unambiguously identify the maintenance 
technician or it can, for example, specify the role of the maintenance technician. 

In step 13, the technical device 55 shows information for intended 
maintenance access and for the identity or role of the maintenance technician to an 
operating personnel via a display device, for example a monitor. In a preferred 
embodiment, the display comprises a pop-up window that shows an agreement that 
authorizes the maintenance technician for the data access in the intended extent of 
access. 

The wording of this agreement can either have been transmitted from the 
maintenance computer 51 or it can be available on the side of the technical device 55. 
The content of the agreement can thereby be variably established dependent on the 
intended extent of data access, or a standard agreement, for example in the form of a 
document template, can be specially available for each extent of data access. In a 
further embodiment, instead of an agreement only information about the extent of the 
intended data access as well as the maintenance technician or, respectively, his role 
can be communicated to an operating personnel. 

In step 15, the operating personnel of the technical device 55 obtains the 
possibility to allow the intended data access or to refuse it. The decision can be made 
directly on the display device of the technical device 55 via input of the approval or 
refusal, for example by means of keyboard or mouse. In another embodiment, the 
decision can be made in that the information or, respectively, the agreement shown in 
the preceding step is printed out by the technical device 55 and is approved in written 
form by an operating personnel. 

In the event that the operating personnel gives no approval to the intended data 
access, the planned maintenance measure is cancelled in the step 27 specified below. 
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In the event that the operating personnel has given her approval to the data 
access, in step 17 an electronic signal dependent on this approval is generated that is 
either directly transmitted from the technical device 55 to the maintenance computer 
51, or effects the generation of printout that can then, for example, be faxed. 

In the event that the approval of the operating personnel has been directly 
input on the monitor of the technical device 55, the transmission ensues via the 
remote data connection 53 and can be directly displayed to the maintenance 
technician. In the event that the approval has been given in writing on a printout, it 
can be transmitted via fax or sent via post. In this case, the maintenance technician 
does not receive the approval or, respectively, the contractual agreement for the 
intended maintenance access in quite as real time as given the transmission via the 
remote data connection 53. This possibility can namely be used for documentation 
purposes, in order, for example, to centrally archive agreements or, respectively, 
approvals for data accesses. 

In step 19, the maintenance technician undertakes maintenance measures via 
the already established remote data connection 53 by means of the maintenance 
computer 51. He thereby abides by the scope of data access previously approved by 
the operating personnel of the technical device 55, in order to move in the previously 
arranged framework of the data access. For this purpose, the remote data connection 
53 does not have to be adapted and be technically limited with regard to its access 
possibilities; instead of this, the maintenance technician abides by the agreed extent of 
access. 

The maintenance measures of the maintenance technician are stored in a 
suitable manner in a document storage 21 in order to be completely reconstructable at 
any time after the event. 

In step 23, the information stored in the document storage 21 for 
documentation purposes is transmitted from the maintenance computer 51 to the 
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technical device 55. In particular, legal conditions for complete documentation of 
data accesses to confidential data can thereby be satisfied. 

In step 25, the ending of the maintenance measure ensues either automatically 
via the maintenance computer 5 1 or manually by the maintenance technician. The 
end of the maintenance measure is thereby not identical with the release of the remote 
data connection 53, it means only the conclusion of the previously planned and 
implemented maintenance measure. Should it emerge, for example in the course of 
the implementation of this maintenance measure, that a data access in a changed 
scope is necessary, a running maintenance measure can be terminated and a 
maintenance measure can be commenced in the necessary, changed scope of access. 

In step 27, the end of the maintenance measure is shown to an operating 
personnel via the technical device 55. The end of the maintenance measure is 
synonymous with the expiration of the approval of the operating personnel for a data 
access in the previously established scope. If the approval ensued in the framework 
of a contractual agreement, the end of the maintenance measure in step 27 is identical 
with the termination of the contractual agreement. For this purpose, for example a 
notice of termination conforming with the preceding agreement can be displayed to 
the operating personnel on a screen of the technical device 55. 

In step 29, after the end of all maintenance measures, the remote data 
connection 53 is released, and in step 31 the maintenance method is ended. 

The method to delete confidential data from the maintenance computer 51 is 
shown in FIG 2. In step 19, the implementation of maintenance measures and their 
storage for documentation purposes in the documentation storage 21 thereby ensues 
as described before. In step 23, as likewise specified before, the information stored 
for documentation purposed are transmitted to the technical device 55. 

In step 24, the deletion of all data that have been transmitted from the 
technical device 55 to the maintenance computer 5 1 and stored by this during the 
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maintenance measures ensues using the information stored for documentation 
purposes. The use of the documentation information thereby enables the complete 
deletion, such that it is subsequently ensured that no confidential data remains on the 
side of the maintenance computer 5 1 . 

The end of the maintenance measure ensues on the side of the maintenance 
computer 51 in step 25, as specified before. 

In step 26, the successful deletion of all confidential data that ensued 
previously in step 24 on the side of the maintenance computer 5 1 is confirmed by the 
operating personnel of the technical device 55 in connection with the end of the 
maintenance measure. 

In step 27, as specified previously, the end of the maintenance measures is 
shown by the technical device 55 in the form of a notice of termination of the 
previously made agreement. 

A system for maintenance of a technical device 55 is shown in FIG 3. The 
technical device 55 can thereby be, for example, a computer of a computer control of 
a device. A maintenance computer 5 1, for example a computer or a notebook, is 
connected with the technical device 55 via a remote data connection 53. The remote 
data connection 53 can thereby comprise a modem connection, an intranet connection, 
an Internet connection or other data connections. A further technical device 55 is 
exemplarily shown that likewise has access to a remote data connection 53, however 
is not connected with the maintenance computer 5 1 . 

The information necessary for execution of the method on a data processing 
device can be stored on a computer-readable storage medium. The storage medium 
can be, for example, a diskette, a diskette packet, a fixed disk, a server. The 
information stored thereon can interact with a data processing device in order to, for 
example, execute the method on the data processing device or install a program on 
said data processing device that is necessary for execution. 
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Patent claims 



1 . Method for remote maintenance of a technical device (55) by a maintenance 
technician by means of a maintenance computer (51), in that a) in a step (3), a remote 
data connection (53) is established between the maintenance computer (51) and the 
technical device (55), b) in a step (11), electronic access information dependent on a 
scope of intended access to data stored in the technical device (55) is transmitted from 
the maintenance computer (51) to the technical device (55), c) in a step (12) an 
electronic identifier identifying the maintenance technician is transmitted from the 
maintenance computer (51) to the technical device (55), d) in a step (15), an approval 
by an operating personnel of an access is determined by the technical device (55) 
dependent on access information and the identifier, and e) in a step (17) by the 
technical device (55), electronic authentication information is generated dependent on 
the determination of the approval. 

2. Method according to claim 1, in that the authentication information is 
transmitted from the technical device (55) to the maintenance computer (51). 

3. Method according to any of the preceding claims, in that information is 
printed out by the technical device (55) dependent in the authentication information. 

4. Method according to any of the preceding claims, in that in a step (25), 
electronic termination information dependent on a termination of the access is 
transmitted from the maintenance computer (51) to the technical device (55). 

5. Method according to any of the preceding claims, in that in a step (23), an 
electronic documentation of accesses effected by means of the maintenance computer 
(51) is transmitted from the maintenance computer (51) to the technical device (55). 

6. Method according to any of the preceding claims, in that in a step (24), 
electronic data that have been transmitted from the technical device (55) to the 
maintenance computer (51) and stored by this are automatically deleted from the 
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maintenance computer (51) by the maintenance computer (51), dependent on the 
termination of the access. 

7. Method according to any of the preceding claims, in that an extent of the 
intended data access is automatically determined in a step (7). 

8. Computer-readable storage medium on which is stored information that can 
interact with a data processing device in order to execute the method according to any 
of the claims 1 through 7 on the data processing device. 
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Abstract 



Method for remote maintenance of technical devices 



The invention concerns a method for remote maintenance of a technical device 
(55) by a maintenance technician by means of a maintenance computer (51) as well as 
a computer-readable storage medium on which is stored information for execution of 
the method on a data processing device. In the method, a) in a step (3), a remote data 
connection (53) is established between the maintenance computer (51) and the 
technical device (55), b) in a step (11), electronic access information dependent on a 
scope of intended access to data stored in the technical device (55) is transmitted from 
the maintenance computer (51) to the technical device (55), c) in a step (12) an 
electronic identifier identifying the maintenance technician is transmitted from the 
maintenance computer (51) to the technical device (55), d) in a step (15), an approval 
by an operating personnel of an access is determined by the technical device (55) 
dependent on access information and the identifier, and e) in a step (17) by the 
technical device (55), electronic authentication information is generated dependent on 
the determination of the approval. 



FIG 
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